存在路徑
引用別人一段話來說明該病毒所在路徑:文中所有的 %System% 字眼,是你安裝windows得途徑。通常是
C:\Windows\System (Windows 95/98/Me),
C:\Winnt\System32 (Windows NT/2000),
C:\Windows\System32 (Windows XP).
%UserProfile% 則是你的用戶名以下的檔案,通常在
C:\Documents and Settings\[你的windows用戶名] (Windows NT/2000/XP).
舉例
當你看到%UserProfile%\APPDATA\winlogon.exe
通常是指 C:\Documents and Settings\[你的windows用戶名]\APPDATA\winlogon.exe
同樣的, %System%\3D Animation.scr
在XP是指 C:\Windows\System32 Animation.scr
而如果你用win98,它則是 C:\Windows\System\3D Animation.scr
因為病毒會侵入各種版本的windows,所以病毒所在的途徑也很難根據各個版本來寫出,所以用 %System% 來代替。
其他描述
當你不小心開到感染了病毒的檔案,它會自動在這幾個地方加入它的病毒檔案
C:\Windows\PIF\CVT.exe
%UserProfile%\APPDATA\IDTemplate.exe
%UserProfile%\APPDATA\services.exe
%UserProfile%\APPDATA\lsass.exe
%UserProfile%\APPDATA\inetinfo.exe
%UserProfile%\APPDATA\csrss.exe
%UserProfile%\APPDATA\winlogon.exe
%UserProfile%\Programs\Startup\Empty.pif
%UserProfile%\Templates\A.kotnorB.com
%System%\3D Animation.scr
注意
%System% 是你安裝windows的途徑. 通常是
C:\Windows\System (Windows 95/98/Me),
C:\Winnt\System32 (Windows NT/2000),
C:\Windows\System32 (Windows XP).
%UserProfile% 則是你的用戶名以下的檔案,通常在
C:\Documents and Settings\[你的windows用戶名] (Windows NT/2000/XP).
然後會創出這個folder
%UserProfile%\Local Settings\Application Data\Bron.tok-24
然後會在 C:\Autoexec.bat 寫上
"pause" 覆蓋之前的內容
然後會在註冊表內添加內容
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"Tok-Cirrhatus" = "%UserProfile%\APPDATA\IDTemplate.exe"
"Bron-Spizaetus" = "C:\WINDOWS\PIF\CVT.exe"
(這個記得要刪除)
如果感染了,registry會被鎖
